• Welcome to COMMUNICATIONS LASER #17. Please log in.

[Ransomware (Notizen) ... ]

Started by Textaris(txt*bot), July 27, 2021, 03:08:39 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Textaris(txt*bot)

Quote[...] Ransomware (von englisch ransom für ,,Lösegeld"), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

Die Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten. ...


...


Aus: "Ransomware" (7. Juli 2021)
Quelle: https://de.wikipedia.org/wiki/Ransomware

Textaris(txt*bot)

Quote[...] In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Das geht aus einer Umfrage von BR und "Zeit Online" unter den Innenministerien der Länder und des Bundes hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Länder wie Nordrhein-Westfalen, Berlin und Hessen machten keine konkreten Angaben. ...

...  Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Dem Bundesinnenministerium ist außerdem ein Fall innerhalb der Bundesverwaltung bekannt geworden, bei dem es zu einer Verschlüsselung eines Servers gekommen ist. Immer wieder trifft es zudem Kommunalverwaltungen: Großstädte wie Frankfurt am Main, Städte wie Neustadt am Rübenberge in Niedersachsen oder auch kleine Gemeinden wie eben Kammeltal.

Auch die kommunalen Spitzenverbände haben keinen systematischen Überblick über die Zahl der Vorfälle. Der Deutsche Städte- und Gemeindebund sieht ein wachsendes Problem und fordert eine bessere Zusammenarbeit von Kommunen und Landesbehörden. "Es stellt sich die Frage, wie schnellstmöglich die notwendige Unterstützung zur Prävention von Ransomware-Angriffen in jede Kommune kommt", heißt es auf Anfrage von BR und "Zeit Online".

... Zu kritischen Infrastrukturen zählen unter anderem Wasserwerke, große Krankenhäuser und die Lebensmittelindustrie. Sie müssen Hacker-Angriffe an den Bund melden. Kommunen und Landesverwaltungen müssen das bislang nicht. Grünen-Politiker Konstantin von Notz fordert deshalb eine Meldepflicht für Ransomware-Vorfälle: Informationen müssten gebündelt werden und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagt von Notz im Interview mit BR und "Zeit Online".

...  Tatsächlich sind die Angreifer mit ihren Erpressungsversuchen in manchen Fällen erfolgreich. Das bedeutet: Steuergelder fließen an Cyberkriminelle. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben, wie lokale Medien berichteten. IT-Sicherheitsexperten und Strafverfolgungsbehörden raten davon ab, Hacker zu bezahlen, doch oft genug besteht die Alternative darin, die Daten zu verlieren.

Einen Überblick über erfolgreiche Erpressungen gibt es nicht. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Das Bundesinnenministerium teilt auf Anfrage mit, Lösegeldzahlungen öffentlicher Stellen seien nicht bekannt.

In Kammeltal hat man dem Erpressungsversuch nicht nachgegeben, auf Anraten der örtlichen Polizei. Jetzt habe man die IT-Sicherheit der kleinen Gemeinde verbessert.


Aus: "Hacker verschlüsseln Daten Mehr als 100 Behörden erpresst" (29.06.2021)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/ransomware-103.html


Textaris(txt*bot)

Quote[...] Um nach dem Ransomware-Angriff schneller wieder arbeitsfähig zu werden, hat der Landkreis Anhalt-Bitterfeld um Hilfe durch die Bundeswehr gebeten. Dabei geht es um die Unterstützung bei der Forensik und dem Wiederaufbau der technischen Infrastruktur. Jeder der 900 Computer der Mitarbeiter müsse den Sicherheitsvorkehrungen entsprechen, sagte ein Sprecher des Landkreises am Dienstag. Mit den IT-Mitarbeitern der Kreisverwaltung sei das zeitnah nicht zu stemmen. "Da wir das ja schnell wollen, haben wir diesen Hilfsantrag gestellt."

Am Montag hatte der Landkreis mitgeteilt, dass ein Hilfeersuchen an die Bundeswehr gestellt wurde. Eine Rückmeldung seitens der Bundeswehr gab es zunächst nicht. Der Sprecher rechnet aber mit einer Antwort innerhalb weniger Tage.

Am 6. Juli 2021 wurde bekannt, dass mehrere Server des Landkreises bei einem Angriff mit Ransomware infiziert wurden, bei dem Daten verschlüsselt wurden. Die Quelle der Infektion war zunächst unklar. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden, der Landkreis lehnte jedoch eine Lösegeldzahlung ab. Als Folge darauf wurden wohl Behördendaten im Internet veröffentlicht. Der Angriff auf die Kreisverwaltung und der damit verbundene Ausfall von Dienstleistungen war so gravierend, dass der Katastrophenfall ausgerufen wurde.

Seit vergangener Woche ist der Landkreis dank der Notinfrastruktur wieder eingeschränkt arbeitsfähig und per E-Mail erreichbar. Einige Dienstleistungen können - zum Teil extern - wieder erbracht werden. Das betrifft den Angaben zufolge etwa die Bereiche Vormundschaft, Betreuungsbehörde, Wohngeld, Eingliederungshilfe, Hilfe zur Pflege, Blindenhilfe, BaföG und Vergaben. Eine Kfz-Zulassung ist nach wie vor nicht möglich.

Um in derartigen Fällen sowie weiteren Katastrophenfällen in Bezug auf IT-Infrastruktur und kritische Infrastruktur schnell helfen zu können, fordert die unabhängige Organisation AG Kritis die Errichtung eines sogenannten Cyber-Hilfswerks (CHW). Dieses soll, ähnlich wie das THW dies bei physischer Infrastruktur übernimmt, in außergewöhnlichen Fällen dabei helfen, digitale Infrastruktur schnell wieder verfügbar zu machen.


Aus: "Anhalt-Bitterfeld bittet Bundeswehr um Hilfe beim IT-Aufbau" Sebastian Grüner/ dpa (27. Juli 2021)
Quelle: https://www.golem.de/news/nach-ransomware-angriff-anhalt-bitterfeld-bittet-bundeswehr-um-hilfe-beim-it-aufbau-2107-158454.html


Textaris(txt*bot)

Quote[...] In den europäischen und afrikanischen IT-Systemen von Toyota Financial Service (TFS) ist es zu einem IT-Sicherheitsvorfall gekommen. Das hat das Unternehmen Medienberichten zufolge nun bestätigt. Die Erpresser der Medusa-Bande fordern 8 Millionen US-Dollar Lösegeld.

Auf ihrer Leaking-Website im Darknet läuft ein Countdown. Der Anzeige zufolge hat TFS noch circa acht Tage Zeit, zu reagieren. Wer 8 Millionen US-Dollar zahlt, kann die Daten herunterladen. Zahlt TFS diesen Betrag, geben die Verbrecher an, die Daten zu löschen. Für die Summe von 10.000 US-Dollar lässt sich die Frist um einen Tag verlängern. Läuft der Countdown ab, wollen sie die Daten veröffentlichen.

Ob die Erpresser wirklich Daten kopiert haben, wurde bislang von offizieller Stelle nicht bestätigt. Um das zu beweisen, haben sie eine Stichprobe der Daten bestehend aus unter anderem Finanzreports, Rechnungen und Nutzer-IDs veröffentlicht. Darunter sollen auch Personaldaten wie E-Mails und gehashte Passwörter sein. In einer Textdatei zeigen sie alle Daten auf, die sie eigenen Angaben zufolge im Zuge der Attacke kopiert haben. Ob dabei auch Daten verschlüsselt wurden, ist bislang nicht bekannt.

Wie die Angreifer in die IT-Systeme eindringen konnten, ist noch unklar. Ein Sicherheitsforscher spekuliert auf X, dass die Angreifer an der kritischen Lücke CitrixBleed (CVE-023-4966) in Netscaler ADC und Gateway angesetzt haben könnten. Ihm zufolge hat das deutsche TFS-Büro einen seit August 2023 nicht aktualisierten und somit verwundbaren Citrix Gateway Endpoint am öffentlichen Netz hängen.

Diese Lücken haben schon mehrere Ransomware-Banden ausgenutzt, um sich Zugriff auf IT-Systeme von Unternehmen zu verschaffen.

https://www.heise.de/news/CitrixBleed-Ransomware-Banden-attackieren-Citrix-NetScaler-9350201.html

(des)


Aus: "Ransomwarebande Medusa attackiert Toyota und fordert 8 Millionen US-Dollar" Dennis Schirrmacher (17.11.2023)
Quelle: https://www.heise.de/news/Ransomwarebande-Medusa-attackiert-Toyota-und-fordert-8-Millionen-US-Dollar-9531735.html